real time web analytics

Los ciberespías iraníes usaron Log4j para entrar en una organización del gobierno de EE. UU. • The Register

Los ciberdelincuentes patrocinados por el estado iraní utilizaron una falla de Log4j sin parchear para ingresar a una red del gobierno de los EE. UU., extraer criptomonedas ilegalmente, robar credenciales y cambiar contraseñas, y luego husmear sin ser detectados durante varios meses, según CISA.

En una alerta publicada el miércoles, la agencia de seguridad cibernética de EE. UU. dijo que detectó la actividad de amenaza persistente avanzada (APT) en la red de una organización del poder ejecutivo civil federal (FCEB) sin nombre en abril.

“CISA y la Oficina Federal de Investigaciones (FBI) evalúan que la red FCEB fue comprometida por actores APT patrocinados por el gobierno iraní”, según la alerta.

Durante la investigación, los que respondieron al incidente determinaron que los delincuentes obtuvieron acceso inicial en febrero al explotar Log4Shell. Esta, por supuesto, es la vulnerabilidad en la biblioteca de registro de código abierto Apache Log4j ampliamente utilizada descubierta en noviembre de 2021.

Poco después, CISA emitió una directiva de emergencia que requería que las agencias federales taparan el agujero antes del 23 de diciembre de 2021. Pero parece que alguien se perdió la nota y un par de meses después, los malhechores explotaron el error para obtener acceso inicial al servidor VMware Horizon sin parches de la organización. .

Después de irrumpir, los iraníes instalaron XMRig en el servidor para extraer criptomonedas, porque ¿por qué no ganar uno o dos dólares pasivos mientras espiaban? Luego se trasladaron lateralmente a un host VMware VDI-KMS antes de descargar una herramienta firmada por Microsoft para administradores de sistemas (PsExec) junto con Mimikatz para robar credenciales y la herramienta de proxy inverso Ngrok, lo que les permitió eludir los controles de firewall y mantener el acceso a la red. .

Los ladrones también cambiaron la contraseña de la cuenta de administrador local en varios hosts como un plan B en caso de que la cuenta de administrador de dominio deshonesto fuera marcada y cancelada. Intentaron volcar el proceso del Servicio del Subsistema de la Autoridad de Seguridad Local (LSASS), pero fueron detenidos por el código antivirus instalado en las máquinas, según nos dijeron.

En la alerta, CISA y el FBI sugieren varias medidas de mitigación que las organizaciones deberían tomar para mejorar su postura de seguridad.

Primero en la lista, por el amor de Dios, gente, parchee los malditos sistemas VMware Horizon para asegurarse de que no estén ejecutando el código Log4j con errores. “Si las actualizaciones o las soluciones alternativas no se aplicaron de inmediato después del lanzamiento de actualizaciones de VMware para Log4Shell en diciembre de 2021, trate esos sistemas VMware Horizon como comprometidos”, señalaron los federales.

A pesar de que ha pasado casi un año desde el descubrimiento de Log4Shell, “no me sorprende que estemos viendo informes como el CISA y el aviso del FBI de hoy”, dijo el CEO y cofundador de Chainguard, Dan Lorenc. El registro.

“Log4shell es endémico y existirá para siempre”, agregó. “Permanecerá en la caja de herramientas de todos los atacantes y se seguirá utilizando para obtener acceso o para el movimiento lateral en el futuro previsible”.

Pero, agregó, los movimientos recientes, incluidas las reuniones de la Casa Blanca y la legislación para proteger el software de código fuente, significan que “no se pierde toda esperanza”.

Mientras tanto, CISA y sus amigos aconsejan mantener todo el software actualizado y priorizar el parcheo de las vulnerabilidades explotadas conocidas.

Las organizaciones también deben aislar los servicios esenciales en una zona segregada y desmilitarizada, de modo que no estén expuestas a ataques relacionados con Internet.

Además, mantenga las credenciales seguras creando una “lista de denegación” de nombres de usuario y contraseñas comprometidos conocidos, y CISA sugiere también usar una función de protección de credenciales de dispositivos locales.

La advertencia de seguridad cibernética de hoy se produce cuando EE. UU. ha emitido nuevas sanciones contra individuos y organizaciones iraníes en respuesta a la brutal represión del estado contra los manifestantes que condenaron el asesinato de Mahsa Amini en septiembre.

El Tío Sam también emitió recientemente acusaciones contra tres iraníes vinculados al Cuerpo de la Guardia Revolucionaria Islámica (IRGC) del país por su presunto papel en la planificación de ataques de ransomware contra la infraestructura crítica estadounidense.

La estrecha relación del país con los ciberdelincuentes hace que sea difícil distinguir entre los asesinos patrocinados por el estado y los ciberespías como el IRGC y los piratas informáticos a sueldo, dijo el jefe de análisis de inteligencia de Mandiant, John Hultquist. El registro.

“Irán y sus pares dependen de contratistas para llevar a cabo actividades de ataque y espionaje cibernético”, dijo. “Muchos de estos contratistas trabajan como delincuentes y puede ser difícil distinguir esta actividad del trabajo realizado a instancias del estado”.

La firma de inteligencia de amenazas propiedad de Google “sospecha que al menos en algunos casos el estado ignora el crimen como parte del trato faustiano que hacen para acceder al talento y las capacidades disponibles fuera del sector público”, dijo Hultquist. ®

Leave a Comment